diciembre 20, 2011

Bloqueo P2P, redes sociales, messengers y sistemas

En muchas ocasiones nos escriben administradores pidiéndonos que le ayudemos a filtrar tráfico P2P, messengers, redes sociales, y otras opciones de sistema. Muchos elijen Windows 2003 u 2008 server, en cambio otros, más conocedores de la avalancha de virus y malware que puede invadir sus servidores, se deciden por Linux.
En ambos casos es un dolor de cabeza filtrar este tipo de tráfico. El controlador de dominio de Windows y el iptables y squid de Linux son deficientes a la hora de cortar de raíz el ares, el messenger o las nuevas conexiones a las redes sociales via https.
Investigamos las soluciones que ofrece el mercado y este el resultado:
1. Cuentas limitadas para usuarios de Windows: Limita la instalación de programas, más no la ejecución de portables. Y si logran acceder al "control userpasswords2", puede decirle adiós a su política de seguridad
2. Filtrado por Iptables y Squid: La naturaleza del del p2p y los messengers es muy cambiante y el módulo ipp2p ya está descontinuado. Además no se puede redireccionar el puerto 443 al squid para filtrar el acceso a las redes sociales vía https, ya que se bloquearían todas las conexiones seguras habituales y no restringidas (e-mails, cuentas bancarias, etc) y se crearía un MITM. Puede filtrar por ips https en Iptables pero es un proceso tedioso y que demanda mucho del administrador TI, ya que hay que estar actualizando constantemente las ips https. (Vea la serie Firewall). Si no está bien configurado puede ser saltado con vpn u otra alternativa.
3. Hydra Assassin, Anti-ares, etc: Otra pérdida de tiempo. Es muy fácil eliminarlos
Y un sinfin de ofertas que no vale la pena mencionar.
Y ante esto, un administrador TI, al ver a sus usuarios tan felices y a su jefe firmando su carta de despido, qué puede hacer?
Una solución, no muy decorosa, es aplicar filtrado directamente en cada usuario de la Lan, no usando programas, ni dominio restringido o cuentas limitadas, sino modificando el registro sistema de Windows. Con unas cuantas modificaciones en el regedit basta para que el usuario jamás pueda ejecutar programas como el ares, bittorrent, windows live messenger, entre otros. Y si intenta acceder al registro o al gpedit.msc para restablecer los valores, también bloqueamos estos accesos
Además, puede bloquear las conexiones a redes sociales vía https, mediante restricción del host.
Puede descargar un pack que hemos recopilado para modificar archivo host AQUI, sin embargo usted puede construir los .reg acuerdo con sus necesidades y bloquear las aplicaciones y sitios que no sean permitidos por las políticas de seguridad de su empresa o el pack para modificar el registro Pack Windows Restored.
Nota: Este procedimiento solo es aplicable si su red local está conformada por equipos que usan Windows. Es recomendado para redes pequeñas y controlables. No aplica redes grandes o corporativas, con terminales con otros sistemas operativos.
Maravento, Actualizado en: 16:44
Escrito por: Maravento Studio
 
© 2017 Maravento. All Rights Reserved | Powered by Maravento
Design by Novatoz and Maravento | Bloggerized By LawnyDesignz
# https://github.com/google/code-prettify